Quand un programme malveillant copie un autre pour plus d’efficacité

Maze est un célèbre ransomware qui a été impliqué dans beaucoup d’attaques informatiques au cours de l’année dernière et cette année, en particulier celle qui a affecté le géant Français Bouygues.

Mais les éditeurs de ce programme ont décidé de passer à la vitesse supérieure. En effet ce célèbre rançongiciel copie le système de camouflage utilisé par un autre célèbre de son genre, Ragnar Locker. Ce camouflage permet au rançongiciel d’être difficilement détectable sachant qu’il se cache derrière une machine virtuelle. Ce qui empêche les systèmes de détection standard de s’apercevoir de sa présence.

Cet article va aussi vous intéresser : Attaque de Bouygues construction : 3 choses à savoir

Cette nouvelle technique employée par les éditeurs de maze a été découverte par la société britannique de cybersécurité Sophos durant le mois de juillet. Et cela suite à une tentative d’intrusion qui a vite été interceptée. Le groupe de cybercriminel derrière cette tentative n’a pas encore été détecté.

On retiendra alors que les cybercriminels disposent dorénavant de plus de moyens qui leur permet de disséminer plus facilement leur rançongiciel. Du moins, c’est ce qui semble évident avec la découverte de se Sophos. Une découverte qui est survenue 4 mois après l’utilisation de cette technique par Ragnar Locker. La technique permet aux éditeurs de logiciels de rançonnage de dissimuler leur programme malveillant derrière des machines virtuelles. Ce qui empêche les programmes de sécurité que la cible de les détecter plus facilement. Le cas devient alors compliqué lorsqu’on sait à quel point le rançongiciel Maze à été impliqué dans la cyberattaque de plusieurs grosses entreprises à travers le monde à savoir le géant coréen LG, Bouygues construction, Leon Grosse, Canon, Xerox, Cognizant, SK Hynix…

« Lors de l’incident Maze, les acteurs de la menace ont distribué la charge utile de chiffrement de fichier du ransomware sur le disque dur virtuel de la machine virtuelle (un fichier d’image de disque virtuel Virtual Box .vdi), qui a été livré dans un fichier d’installation Windows .msi de plus de 700 Mo en taille », explique la spécialiste de la sécurité Sophos dans un billet de blog. « Les attaquants ont également regroupé une copie épurée, vieille de 11 ans, de l’hyperviseur Virtual Box dans le fichier .msi, qui exécute la VM comme un terminal non déterminé, sans interface utilisateur. » ajoute t’elle. Cependant, cela est différent la tactique qui a été utilisée lors de l’attaque du géant portugais de l’énergie EDP, avec le logiciel Ragnar Locker. Ici, le programme malveillant avait été déployé dans une machine virtuel sur Windows 10.

La société Britannique de sécurité informatique Sophos a expliqué avoir découvert la nouvelle technique le des simulations du rançongiciel Maze lors d’une enquête mini durant le mois de juin après qu’une organisation ait été ciblées par une attaque informatique. Le montant de la rançon exigée par les cybercriminels était à hauteur de 15 millions de dollars. Alors, on peut imaginer que c’est une grosse organisation qui a été attaquée même si Sophos se garde de donner son nom. Les cybercriminels ont tendance à adapter le prix en fonction de leur cible. « L’enquête a également révélé plusieurs scripts d’installation qui ont révélé les tactiques des attaquants et ont révélé qu’ils avaient passé des jours à se préparer à lancer le ransomware en créant des listes d’adresses IP à l’intérieur du réseau de la cible, en utilisant l’un des serveurs de contrôleur de domaine de la cible et en exfiltrant données au fournisseur de stockage cloud Mega.nz », note Sophos.

D’après cette dernière, le pirate informatique a réussi leur coup après avoir réussi plus de 3 fois. Car les deux premières tentatives ont échoué. Ils avaient essayé de lancer des fichiers exécutables de leur programme malveillant en utilisant les tâches planifiées de Windows Update Security Patches et Google Chrome Security Update ou Windows Update Security. Selon les explications de Sophos : « La machine virtuelle a apparemment été configurée à l’avance par quelqu’un qui savait quelque chose sur le réseau de la victime, car son fichier de configuration (« micro.xml ») mappe deux lettres de lecteur qui sont utilisées comme lecteurs réseau partagés dans cette organisation particulière, vraisemblablement ainsi peut crypter les fichiers sur ces partages ainsi que sur la machine locale. Il crée également un dossier dans C: \ SDRSMLINK \ et partage ce dossier avec le reste du réseau ». La société de sécurité informatique explique que : « À un moment donné (on ne sait pas quand et comment, exactement, cela a été accompli), le logiciel malveillant a écrit également un fichier nommé startup_vrun.bat. Nous avons trouvé ce fichier dans c: \ users \ Administrator \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Startup, ce qui signifie qu’il s’agit d’un mécanisme de persistance qui repose sur le redémarrage de l’ordinateur avant que les attaquants ne lancent le malware. ». Le script a permis aux cybercriminels de mettre une commande afin de stopper l’ordinateur immédiatement après avoir copié 3 fois le même fichier, qui se trouvait dans la racine du disque. Les pirates informatiques ont attendu que la machine soit rallumée pour que le script s’exécute et produit les conséquences qui ont suivi.

Accédez maintenant à un nombre illimité de mot de passe :